Pryvii
Todos los artículos
Regulatory Updates
21 de febrero de 2026

Connecticut reduce el umbral de la ley de privacidad a 35,000: Ahora se aplica a tu sitio

A partir de mediados de 2026, la ley de privacidad de Connecticut amplía drásticamente su alcance de 100,000 a 35,000 clientes, además de nuevas restricciones en la venta de datos de menores. Los sitios web más pequeños que pensaban estar exentos ahora pueden necesitar cumplir.

Compartir:

Connecticut reduce el umbral de la ley de privacidad a 35,000: Ahora se aplica a tu sitio

Imagina que diriges un pequeño sitio de comercio electrónico que atiende a una audiencia especializada en el Noreste, confiado en que tu base de usuarios de menos de 100,000 te mantiene al margen de las leyes estatales de privacidad. Ahora imagina el 1 de julio de 2026: ese mismo sitio de repente cae bajo la Ley de Privacidad de Datos de Connecticut (CDPA) revisada porque has alcanzado los 35,000 residentes de Connecticut, o incluso has procesado una sola pieza de datos sensibles. Esto no es un escenario hipotético lejano; es la nueva realidad para miles de empresas, ya que el Proyecto de Ley del Senado 1295 reduce drásticamente los umbrales de aplicabilidad y endurece las reglas sobre los datos de menores.1 2 3

Estos cambios, firmados en ley el 24 de junio de 2025, amplían drásticamente el alcance de la CDPA, incorporando sitios web, aplicaciones y servicios en línea más pequeños que anteriormente pasaban desapercibidos.1 4 Si tus operaciones tocan a los consumidores de Connecticut, incluso de manera indirecta, es hora de auditar tu cumplimiento. Esta publicación desglosa los cambios clave, a quién afectan y los pasos prácticos para prepararse antes de que se intensifique la aplicación.

¿Qué cambió? Un desglose de las actualizaciones principales del SB 1295

La legislatura de Connecticut aprobó el SB 1295 para abordar las lagunas en la CDPA original, efectiva el 1 de julio de 2026 (con algunas reglas de creación de perfiles que comienzan el 1 de agosto).1 2 ¿El ajuste más disruptivo? Reducir la barrera para quienes deben cumplir.

Umbrales de aplicabilidad reducidos

Anteriormente, la CDPA se dirigía a los actores más grandes:

  • Empresas que procesan datos personales de 100,000 o más consumidores de Connecticut (excluyendo datos de pago únicamente), o
  • Aquellas que procesan datos de 25,000 o más consumidores y derivan >25% de ingresos de la venta de datos.2 5

A partir del 1 de julio de 2026:

  • Se reduce a 35,000 consumidores de Connecticut — sin necesidad de vinculación con ingresos.1 2 3 4 5 6
  • Umbral cero si procesas cualquier dato sensible (por ejemplo, geolocalización precisa, información de salud, inicios de sesión financieros).2 3 5
  • Umbral cero si vendes cualquier dato personal de residentes de Connecticut.2 4 5

Los datos de transacciones de pago siguen exentos de los conteos, pero todo lo demás — como cookies de seguimiento o perfiles de usuario — cuenta.5 6 Esto incluye a tiendas de mamá y papá, herramientas SaaS locales y sitios de afiliados que se libraron de las antiguas reglas.3

Categorías de datos sensibles ampliadas

Los datos sensibles ahora desencadenan el cumplimiento independientemente del volumen. Las nuevas adiciones incluyen:

  • Discapacidades o tratamientos de salud mental
  • Estado no binario o transgénero
  • Datos genéticos/biométricos derivados
  • Datos neuronales
  • Números de cuenta financiera, detalles de tarjetas o credenciales de inicio de sesión (con información de acceso)7

El procesamiento de datos sensibles requiere consentimiento, y debe ser "razonablemente necesario y proporcional" a los fines declarados — más estricto que el antiguo estándar "adecuado, relevante".1 5 La venta de datos sensibles exige consentimiento separado.4

Protecciones elevadas para menores

No hay más margen de maniobra aquí:

  • Prohibición total de vender datos personales de menores de 18 años (sube de 16; no hay excepción de consentimiento para 13-17).3 4 5
  • Publicidad dirigida prohibida a menores, con o sin consentimiento.3 5
  • Prohibiciones en características de diseño que enganchan a menores (por ejemplo, scrolls infinitos que aumentan la participación).5
  • Reglas de creación de perfiles más estrictas para menores, más evaluaciones de impacto obligatorias.5

Estos reflejan leyes de privacidad de niños como COPPA pero se integran directamente en las obligaciones de la CDPA.

Otros ajustes clave

  • Derechos de creación de perfiles se expanden: Los consumidores pueden optar por no participar en cualquier creación de perfiles vinculada a decisiones automatizadas con "efectos legales o similares significativos" — incluyendo decisiones de terceros.5
  • Avisos de privacidad deben revelar: Categorías de venta de datos, procesamiento de anuncios dirigidos, uso de entrenamiento de LLM, compradores de terceros y fecha de última actualización. Los cambios materiales requieren opciones de retirada de consentimiento.4
  • Opt-outs universales reconocidos a partir de enero de 2026 (por ejemplo, Global Privacy Control).3
  • No hay período de curación para violaciones después de los cambios — directamente a la aplicación.2

¿Afecta esto a tu sitio web o negocio?

Si "realizas negocios en Connecticut o produces productos/servicios dirigidos a sus residentes", estás dentro del alcance.2 La orientación incluye marketing localizado, envío específico del estado o personalización basada en IP — común para sitios de comercio electrónico.

Lista de verificación de autoevaluación rápida:

  • ¿Rastrean >35,000 usuarios de CT a través de cookies, registros o formularios? (Sí = cumplir.)
  • ¿Procesan cualquier dato sensible (por ejemplo, cuestionarios de salud, servicios de ubicación)? (Sí = cumplir.)
  • ¿Venden datos (por ejemplo, a redes de anuncios)? Incluso un registro de CT desencadena esto.2 4
  • ¿Sirven a menores (consciente o a través de brechas de verificación de edad)? Las nuevas prohibiciones se aplican universalmente.5

Los sitios pequeños con 40,000 usuarios a nivel nacional podrían procesar 5,000 de CT solos — ahora sobre la línea. Las organizaciones sin fines de lucro, las herramientas B2B y los procesadores de pagos no están automáticamente exentos; verifique los umbrales excluyendo pagos.5 6

Comparar con pares:

Ley estatalUmbral antiguoUmbral nuevo/último¿Desencadena datos sensibles?
Connecticut (CDPA)100k consumidores35k consumidores (2026)Sí, cualquier cantidad 1 2
California (CCPA/CPRA)100k consumidores o 50k dispositivosSin cambiosParcial (opt-out para sensibles)
Colorado (CPA)100k consumidoresSin cambiosSí, pero barras más altas
Virginia (VCDPA)100k consumidoresSin cambiosLimitado

La caída de CT es una de las más pronunciadas, rivalizando con expansiones en Montana o Oregon.3

Pasos prácticos: Cumplir antes del 1 de julio de 2026

No te asustes — muchas actualizaciones se alinean con las mejores prácticas de GDPR/CCPA. Comienza ahora para una implementación suave.

1. Audita tus flujos de datos (2-4 semanas)

  • Mapea el procesamiento de datos personales: ¿Quién, qué, dónde? Utiliza herramientas como diagramas de flujo de datos.
  • Cuenta consumidores de CT: Revisa análisis (GA4, registros del servidor) para tráfico específico del estado. Excluye pagos puros.2
  • Marca datos sensibles/de menores: Escanea formularios, rastreadores para contenido de salud, ubicación o dirigido a niños.7

Consejo práctico: Si estás por debajo de 35k pero vendiendo datos, estás dentro — audita píxeles de anuncios (por ejemplo, Facebook Pixel a menudo "vende" mediante el intercambio).4

2. Actualiza políticas y avisos (1-2 semanas)

  • Revisa la política de privacidad con divulgaciones del SB 1295: Categorías de ventas, procesamiento de anuncios, uso de LLM, fechas de actualización.4
  • Agrega prohibiciones para menores y retirada de consentimiento para cambios.
  • Despliega banderas de cookies que honran GPC/opt-outs universales.3

Lenguaje de divulgación de muestra:

"Vendemos datos personales a redes de anuncios para publicidad dirigida. Última actualización: [Fecha]."

3. Implementa derechos y controles del consumidor

  • Construye/mejora portales para acceso, eliminación, opt-out (creación de perfiles, ventas, anuncios dirigidos).
  • Para datos sensibles: Bloquea con interruptores de consentimiento granular.
  • Menores: Puertas de edad + auditorías de diseño para evitar anzuelos de participación.5

Plan de implementación numerado:

  1. Integra botones de opt-out en todo el sitio (por ejemplo, "No vender/Dirigir").
  2. Prueba bloques de creación de perfiles para decisiones automatizadas.
  3. Capacita a los equipos en la recopilación "proporcional" — recorta rastreadores innecesarios.1

4. Realiza evaluaciones requeridas

  • Evaluaciones de protección de datos para procesamiento de alto riesgo (ventas, creación de perfiles, sensibles).5
  • Evaluaciones de impacto para menores/creación de perfiles (a partir de agosto de 2026).2 5
  • Documenta todo — los ejecutores aman los registros de auditoría.

5. Verificación técnica y de proveedores

  • Escanea terceros: ¿Venden datos de CT? Actualiza DPAs.
  • Consentimiento de cookies: Asegúrate de que cubra nuevas categorías sensibles; herramientas como OneTrust ayudan.
  • Monitorea la filtración de datos neuronales/genéticos (por ejemplo, aplicaciones de fitness de IA).7

Presupuesta 3-6 meses si comienzas desde cero. Operadores multistatales: Armoniza con CCPA (derechos similares) pero ten en cuenta la barra más baja de CT.3

Peligros potenciales y riesgos de aplicación

No hay período de curación significa multas desde el primer día — hasta $7,500 por violación a través del AG de CT.2 Los pioneros como Utah vieron acuerdos rápidos; espera que CT siga.

Vigila:

  • Subcontar usuarios de CT: La geofencing de IP pierde VPNs; utiliza coincidencia probabilística.
  • Trampas de tecnología publicitaria: "Vender" incluye compartir para anuncios — problema común de Pixel.4
  • Solapamientos globales: Si cumples con GDPR (procesamiento de datos sensibles del Art. 9), estás adelantado; alinea consentimientos.5

Conclusiones clave

  • Colapso del umbral: 100k → 35k consumidores de CT; cero para sensibles/ventas.1 2
  • Menores bloqueados: No hay ventas/anuncios a menores de 18 años, nunca.3 4
  • Actúa ahora: Audita datos, actualiza avisos, construye opt-outs — el 1 de julio se acerca.
  • Sitios más pequeños: Este es tu despertar. El cumplimiento supera las multas.

Con pasos proactivos, conviertes esto en un constructor de confianza. Mantén la vigilancia — las leyes de privacidad evolucionan rápidamente.3

Sources

Footnotes

  1. shb.com

  2. measuredcollective.com

  3. bakerdonelson.com

  4. mwe.com

  5. hunton.com

  6. cga.ct.gov

  7. mvalaw.com

Compartir:

Artículos relacionados

Regulatory Updates

Se ha superado el plazo de la Parte 2 de HIPAA: ¿Qué sucede ahora con sus registros de SUD?

El plazo del 16 de febrero de 2026 para el cumplimiento de la Parte 2 de HIPAA ya ha pasado. Esta publicación cubre qué deben hacer inmediatamente los sitios web de atención médica y las entidades cubiertas si no han actualizado su Aviso de Prácticas de Privacidad para registros de trastornos por uso de sustancias, incluyendo pasos de remediación y riesgos de penalización.

Regulatory Updates

La Ley DROP de California entra en vigor el 1 de agosto: Automatización de solicitudes de eliminación

La nueva ley de eliminación de datos de intermediarios de California requiere el procesamiento automatizado de solicitudes de eliminación de consumidores cada 45 días a partir de agosto de 2026, con multas de $200/día por solicitud no atendida. Los propietarios de sitios web que manejan tráfico de California deben comprender los requisitos de propagación de proveedores ahora.

Regulatory Updates

Marco de Transferencia de Datos UE-EE.UU.: Cómo es el Cumplimiento en 2026

Con el último acuerdo de transferencia de datos entre la UE y EE.UU. bajo escrutinio y potencial invalidación, explicar cómo los propietarios de sitios web pueden prepararse para la incertidumbre y garantizar flujos de datos transfronterizos legales.

Mantente conforme con Pryvii

Escanea tu sitio web en busca de problemas de cumplimiento de privacidad según 17 regulaciones incluyendo GDPR, CCPA y UK GDPR.